Amazon Linux AMI:puppet(ALAS-2015-484)
medium Nessus プラグイン ID 81330
Language:
概要
リモート Amazon Linux AMI ホストに、セキュリティ更新がありません。説明
Ruby 1.9.1 以前で実行時の 2.8.7 より前の Puppet Enterprise 2.8、 2.7.26 より前および 3.6.2 より前の 3.x の Puppet、Facter 1.6.x および 2.0.2 より前の 2.x、1.3.4 より前の Hiera、および 2.5.2 より前の Mcollective の信頼できない検索パスの脆弱性により、ローカルユーザーが、現在の作業ディレクトリでトロイの木馬ファイルを通じて権限を取得することが可能です。これは、(1) rubygems/defaults/operating_system.rb、(2) Win32API.rb、(3) Win32API.so、(4) safe_yaml.rb、(5) safe_yaml/deep.rb、または (6) safe_yaml/deep.so、または puppet/confine の (7) operatingsystem.rb、(8) operatingsystem.so、(9) osfamily.rb、または (10) osfamily.so で実証されています。ソリューション
「yum update puppet」を実行してシステムを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 81330
ファイル名: ala_ALAS-2015-484.nasl
バージョン: 1.2
タイプ: local
エージェント: unix
公開日: 2015/2/13
更新日: 2018/4/18
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Medium
基本値: 6.2
ベクトル: CVSS2#AV:L/AC:H/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: p-cpe:/a:amazon:linux:puppet, p-cpe:/a:amazon:linux:puppet-server, cpe:/o:amazon:linux
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
パッチ公開日: 2015/2/12
参照情報
CVE: CVE-2014-3248
ALAS: 2015-484